Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie die Microsoft Sentinel-APIrecommendations, um programmgesteuert mit SOC-Optimierungsempfehlungen zu interagieren, um Deckungslücken gegen bestimmte Bedrohungen zu schließen und die Erfassungsraten zu erhöhen. Sie können Details zu allen aktuellen Empfehlungen in Ihren Arbeitsbereichen oder einer bestimmten SOC-Optimierungsempfehlung abrufen oder eine Empfehlung neu bewerten, wenn Sie Änderungen in Ihrer Umgebung vorgenommen haben.
Verwenden Sie beispielsweise die recommendations API für Folgendes:
- Erstellen sie benutzerdefinierte Berichte und Dashboards. Weitere Informationen finden Sie z. B. unter Visualisieren von benutzerdefinierten SOC-Optimierungsdaten.
- Integration in Drittanbietertools, z. B. für SOAR- und ITSM-Dienste
- Erhalten Sie automatisierten Echtzeitzugriff auf SOC-Optimierungsdaten, lösen Auswertungen aus und reagieren umgehend auf die Vorschläge
Für Kunden oder MSSPs, die mehrere Umgebungen verwalten, bietet die recommendations API eine skalierbare Möglichkeit, Empfehlungen für mehrere Arbeitsbereiche zu verarbeiten. Sie können Daten auch aus der API exportieren und extern speichern, um Trends zu überwachen, zu archivieren oder zu verfolgen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.
Die recommendations API befindet sich in der VORSCHAU und verwendet Version 2024-01-01-preview oder höher. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.
Abrufen, Aktualisieren oder Erneutes Auswerten von Empfehlungen
Verwenden Sie die folgenden Beispiele der recommendationsAPI , um programmgesteuert mit SOC-Optimierungsempfehlungen zu interagieren:
Rufen Sie eine Liste aller aktuellen SOC-Optimierungsempfehlungen in Ihrem Arbeitsbereich ab:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewRufen Sie eine bestimmte Empfehlung anhand der Empfehlungs-ID ab:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Suchen Sie den ID-Wert einer Empfehlung, indem Sie zuerst eine Liste aller Empfehlungen in Ihrem Arbeitsbereich abrufen.
Aktualisieren Sie die status einer Empfehlung in Aktiv, In Bearbeitung, Abgeschlossen, Verworfen oder Reaktivieren:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Manuelles Auslösen einer Auswertung für eine bestimmte Empfehlung:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualisieren von benutzerdefinierten SOC-Optimierungsdaten
Die Microsoft Sentinel-Optimierungsarbeitsmappe verwendet die recommendations API, um SOC-Optimierungsdaten zu visualisieren. Installieren und anpassen Sie die Arbeitsmappe in Ihrem Arbeitsbereich, um Ihre eigenen benutzerdefinierten SOC-Optimierungs-Dashboard zu erstellen.
Wählen Sie im Microsoft Sentinel Optimierungsarbeitsmappen die Registerkarte SOC-Optimierung aus, und erweitern Sie die Elemente unter Details, um einen Drilldown auszuführen, um SOC-Optimierungsdaten anzuzeigen. Bearbeiten Sie die Arbeitsmappe, um die angezeigten Daten nach Bedarf für Ihre organization zu ändern.
Zum Beispiel:
Weitere Informationen finden Sie unter:
- Entdecken und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten
- Visualisieren und überwachen Sie Ihre Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Verwandte Inhalte
Weitere Informationen finden Sie unter: